Plan
général
www.JURILIS.fr

Jean-François CARLOT, Docteur en Droit, Avocat Honoraire
Préc.
III
Suite
V


PROTECTION DES DONNEES SENSIBLES





IV - PROTECTION PARTICULIERE DES DONNEES SENSIBLES

IV - PROTECTION PARTICULIERE DES DONNEES SENSIBLES

A - PRINCIPE D'INTERDICTION DU TRAITEMENT DE DONNEES SENSIBLES

Art. 32 RGPD :

Article 53 Loi Informatique et Libertés Modifié par la loi n°2018-493 du 20 juin 2018 :


Interdiction de principe des traitements des données révélant :

B - EXCEPTION AU PRINCIPE D'INTERDICTION

  • Article 9 RGPD :

    1. la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques,
    2. le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;
    3. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
    4. le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
    5. le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ; notamment par publication sur un site internet, un blog, ou des réseaux sociaux.
    6. le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;
    7. le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;
    8. le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;
    9. le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;
    10. le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

    Les données à caractère personnel visées au paragraphe 1 peuvent faire l'objet d'un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents.

    Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

  • Article 9 RGPD :

    Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

    C – PROTECTION DES DONNEES DE SANTE

  • Article 53 Loi Informatique et Libertés Modifié par la loi n°2018-493 du 20 juin 2018

    1 - Etendue de la protection des données de santé

    La protection est applicable au traitements contenant des données concernant la santé des personnes.

    Exceptions :

    • Pour les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;
    • Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
    • Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;
    • Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal );
    • Les traitements mis en œuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime d'assurance maladie.
    • Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale.
    • Les traitements effectués par les agences régionales de santé, par l'Etat dans le cadre de l'élaboration du projet régional de santé.

    2 - Conditions de traitement des données de santé (Art. 53 et ss. Loi I.& L.)

    a - Finalité d'intérêt public

  • Article 54 Loi Informatique et Libertés Modifié par la loi n°2018-493 du 20 juin 2018

    Les traitements ne peuvent être mis en œuvre qu'en considération de la finalité d'intérêt public qu'ils présentent, laquelle peut correspondre à la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux.

    b - Déclaration de conformité à des Référentiels à la CNIL ou autorisation préalable

    Des référentiels et règlements types, sont établis par la CNIL.

    Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la CNIL une déclaration attestant de cette conformité.

    Les traitements qui ne sont pas conformes à un référentiel ne peuvent être mis en œuvre qu'après autorisation de la CNIL.

    c - Dérogation liée à une situation d'urgence ou d'alerte sanitaire

    Article 55 Loi Informatique et Libertés Modifié par la loi n°2018-493 du 20 juin 2018

    Les traitements de données à caractère personnel ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, peuvent être entrepris par certains services agréés, à condition de faire l'objet d'une étude d'impact sur la protection des droits et libertés des personnes. (Art. 35 et suivants du RGPD)

    Cette dérogation prend fin un an après la création du traitement, si ce dernier continue à être mis en œuvre au delà de ce délai.

    d - Nécessité du consentement

    Seul le consentement de la personne peut permettre l'utilisation et le traitement de données de santé par des tiers, et en définir les conditions d’utilisation, dans la mesure où ils sont conformes à l’ordre public.

    3 - Obligations incombant aux responsables de traitements

    a - Obligation d’information

    Article 58 Loi Informatique et Libertés Modifié par la loi n°2018-493 du 20 juin 2018 :

    Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées.

    Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du droit d'être laissée dans l'ignorance d'un diagnostic ou d'un pronostic. (Art. L. 1111-2 du code de la santé publique)

    Cas des personnes vulnérables (Art. 59 Loi I. & L.) :

    Sont destinataires de l'information et exercent les droits de la personne concernée par le traitement les titulaires de l'exercice de l'autorité parentale, pour les mineurs, ou le représentant de majeurs protégés dont l'état ne leur permet pas de prendre seuls une décision personnelle éclairée.

    Par dérogation, et pour les traitements de données à caractère personnel réalisés dans le cadre de recherches de type 2 et 3 ou d'études ou d'évaluations dans le domaine de la santé, ayant une finalité d'intérêt public et incluant des personnes mineures, l'information peut être effectuée auprès d'un seul des titulaires de l'exercice de l'autorité parentale s'il est impossible d'informer l'autre titulaire ou s'il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l'étude ou de l'évaluation au regard de ses finalités.

    Cas des mineurs de plus de 15 ans :

    Pour ces traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de l'évaluation. Le mineur reçoit alors l'information et exerce seul ses droits.

    Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale soient informés du traitement de données si le fait d'y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s'est expressément opposé à la consultation des titulaires de l'autorité parentale, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l'assurance maladie et maternité.

    Une information relative à ces dispositions doit notamment être assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel.

    b - Confidentialité des données de santé et secret professionnel

    Article 56 Loi Informatique et Libertés Modifié par la loi n°2018-493 du 20 juin 2018

    Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable de traitement de données autorisé les données qu'ils détiennent dans des conditions de nature à garantir leur confidentialité.

    La CNIL peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.

    Lorsque le résultat du traitement de données est rendu public, l'identification directe ou indirecte des personnes concernées doit être impossible.

    Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

  • Article 57 Loi Informatique et Libertés Modifié par la loi n°2018-493 du 20 juin 2018

    Toute personne a le droit de s'opposer à ce que des données à caractère personnel la concernant fassent l'objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux mentionnés à l'article 53.

    Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l'objet d'un traitement de données, sauf si l'intéressé a, de son vivant, exprimé son refus par écrit.

    4 - Dispositions particulières relatives aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé

    a - Domaine

  • Article 61 Loi Informatique et Libertés Modifié par la loi n°2016-41 du 26 janvier 2016

    Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des activités de soins ou de prévention sont soumis à des règles particulières.

    b - Référentiels

  • Article 62 Loi Informatique et Libertés Modifié par la loi n°2018-493 du 20 juin 2018

    Des méthodologies de référence sont homologuées et publiées par la CNIL.

    Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans autorisation moyennant déclaration à la CNIL attestant de cette conformité.

    MR-001

    RIPH interventionnelles (intervention sur la personne non justifiée par sa prise en charge habituelle et recherches ne comportant que des risques et contraintes minimes),

    RIPH nécessitant la réalisation d’un examen des caractéristiques génétiques

    MR-002

    RIPH non interventionnelles de performances de dispositifs médicaux de diagnostic in vitro en vue de leur mise sur le marché

    MR-003

    Traitements comprenant des données de santé et présentant un caractère d’intérêt public, réalisés dans le cadre de RIPH pour lesquelles la personne concernée ne s’oppose pas à participer après avoir été informée. Il s’agit plus précisément des recherches non interventionnelles à risques et contraintes minimes et des essais cliniques de médicaments par grappe. L'information individuelle des patients est obligatoire.

    MR-004

    Recherches sur des données déjà collectées, lors du soin ou de recherches antérieures (réutilisation de données) ou des données collectées dans le cadre de la prise en charge médicale, au fil de l'eau.

    Recherches dans lesquelles la personne participe et pour lesquelles des données spécifiques liées à la recherche sont collectées sans répondre à la définition juridique de « recherche impliquant la personne humaine ».


    La notion de consentement évoquée dans le titre des MR-001 & MR-003 fait référence au consentement visé par le Code de la Santé Publique en fonction des catégories de recherche (et de la loi « informatique et libertés » s’agissant de la réalisation d’un examen des caractéristiques génétiques), à savoir :

    >
    Type de recherche
    Modalités de l'information et du consentement
    Type 1
         		Libre et éclairé recueilli par écrit
    Type 2
         		Libre et exprès
    Type 3
         		Information et absence d'opposition

    Elle ne renvoie pas au consentement au traitement des données à caractère personnel prévu à l’article 6-1-a ou à l’article 9-2-a du RGPD. Le champ de la MR est exclu lorsque l’analyse d’impact indique que le traitement présenterait un risque résiduel élevé pour les droits et libertés des personnes concernées.

    c - Traitement de données à caractère génétique

    Dans le cas où la recherche nécessite l'examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en oeuvre du traitement de données.

    Art. L 1131-1-1 CSP :

    Toutefois, l'examen des caractéristiques génétiques d'une personne à des fins de recherche scientifique peut être réalisé à partir d'éléments du corps de cette personne prélevés à d'autres fins lorsque cette personne, dûment informée de ce projet de recherche, n'a pas exprimé son opposition.

    Lorsque la personne est un mineur ou un majeur en tutelle, l'opposition est exprimée par les titulaires de l'autorité parentale ou le tuteur.

    Il peut être dérogé à l'obligation d'information lorsque la personne concernée ne peut pas être retrouvée. Dans ce cas, le responsable de la recherche doit consulter, avant le début des travaux de recherche, un Comité de Protection des Personnes qui s'assure que la personne ne s'était pas opposée à l'examen de ses caractéristiques génétiques et émet un avis sur l'intérêt scientifique de la recherche.

    Lorsque la personne concernée a pu être retrouvée, il lui est demandé, au moment où elle est informée du projet de recherche, si elle souhaite être informée en cas de diagnostic d'une anomalie génétique grave.

    Le présent article n'est pas applicable aux recherches dont les résultats sont susceptibles de permettre la levée de l'anonymat des personnes concernées.



    Plan
    général
    www.JURILIS.fr
    Préc.
    III
    Suite
    V